Security&Trust トレンド解説

脅威に対して自動的に防衛するネットワーク

鈴木淳也(Junya Suzuki)
2005/5/31


 SDNの3つのフェイズ

 シスコのSDNは、システムの構成規模に応じて3つのフェイズが用意されている。フェイズが進むほど大掛かりになるため、ユーザーが順番にフェイズを追って導入していくための目安のように思えるが、実際にはシスコが製品をリリースするタイミングを示すもののようだ。

 現在、同社ではフェイズ2.5の段階まで製品が出そろっていると表明しており、間もなく「フェイズ3」構築に必要な製品が登場する形になるという。シスコの大木聡氏によれば、ユーザーが導入段階にこだわる必要はなく、実際にフェイズ3の製品が出そろってからシステム導入を考えているというユーザーも多いようだ。

 各フェイズの役割は次のようになる。

●フェイズ1

 個々の機器におけるセキュリティ機能を強化する。最も基本的なSDNの構築要件。

●フェイズ2(Collaborative Security)

 機器間の連携でセキュリティを高め、エンド・ツー・エンドでのセキュリティポリシーを実現する。連携するのはハードウェアだけではなく、ソフトウェア製品も含んでいる。

 例えば、ウイルス対策ベンダが提供するウイルス対策/パーソナルファイアウォール製品とシスコのネットワーク機器が連携し、接続前にポリシーの適合チェックを行い、合格した段階で初めて接続許可を与えるといったことが可能になる。シスコがソフトウェアベンダ各社との提携を発表したCisco NAC(Network Admission Control)は、このフェイズ2に該当するものである。

●フェイズ3(ATD:Adaptive Thread Defense)

 比較的受身なフェイズ2に対し、フェイズ3ではより積極的にネットワークを監視し、攻撃の兆候があった段階でネットワークを遮断、ウイルスなどの拡散を防ぐ。これにより、アプリケーションの保護はもとより、ウイルス/ワーム、スパイウェアといったマルウェア(Mal-Ware)と呼ばれる悪意を持った攻撃プログラムやその変異体であるバリアントの攻撃を事前に察知して無効化することができる。

 シスコでは2005年2月に「IPS(Intrusion Prevention System)」という事前防衛型のソリューションを発表しており、これがフェイズ3のベースの1つとなっている。

 このように、SDNは3つのフェイズで分かれているが、実際にシステムとして本格的に機能するのはフェイズ2以降である。フェイズ2では、NAC対応のウイルス対策/パーソナルファイアウォール製品と連携することで、脅威がネットワークに持ち込まれることを防止し、必要に応じて能動的にネットワークをシャットダウンできる。

 こうした機能の実現には、認証サーバの導入のほか、スイッチ/ルータといったネットワーク機器にアクティブにVLANの構成を変えられる機構がついていなければならず、かつそれが認証サーバや隣接する機器同士で連携する必要がある。対応する機器が多ければ多いほど、ネットワークの細かい制御が可能となる。機器の買い替えが必要になるケースも想定され、フェイズ2の導入は1つのハードルといえるかもしれない。

 フェイズ3のATDでは、フェイズ2にさらに高度な検知機能を導入し、ネットワークが能動的に問題を発見・対処するという、まさにコンセプトどおりの「Self Defending Network(自己防衛型ネットワーク)」実現を目指している。

 具体的には、ネットワーク上を流れるパケットのペイロード(データ)部を検査し、アプリケーション層に隠れているウイルスを発見する。さらにネットワーク全体のトラフィックを検査することで、DDoS(サービス拒否)攻撃の兆候などを発見し、未然に対処することが可能となる。

 ATDにおけるポイントの1つは「相関分析(Correlation)」と呼ばれるもので、サーバに連続アクセスを行って単にトラフィックが重くなっているだけの状態と、実際にDDoS攻撃につながる多重アクセスとをいかに見分けるかという点にある。もし前者のようなアクセスで逐次ネットワークが遮断されているようでは、システムとして使い物にはならない。通常時のトラフィック状況を記録しておき、真に変化が起きたときに対処する仕組みを用意する必要がある。フェイズ1〜2が比較的ハードウェア寄りのアプローチであるとすれば、フェイズ3はよりソフトウェア的なソリューションであるともいえる。

SDNの基本動作の概念図。社内LAN上にあるリソースにアクセスする前に、必ずポリシーの検証が行われる。許可が出るまで、LAN上のスイッチやルータは当該マシンの通信を遮断する

2/3


Index
脅威に対して自動的に防衛するネットワーク
  Page1
なぜSDNが必要になるか?
Page2
SDNの3つのフェイズ
  Page3
ウイルス/ワームを防御する「Cisco NAC」



Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH